Il controllo dei danni è piuttosto ampio, quindi vorrei che tu li catalogassi di più, ad esempio chiedi:
Di quali informazioni è necessaria l'azienda per impedire una violazione?
Idealmente, nessuno vuole essere violato, o come minimo vogliamo che il nostro tempo di reazione sia così buono da limitare i danni. Può trattarsi di tracciamento basato sulla localizzazione, tracciamento del tempo di utilizzo, tracciamento delle abitudini, Username / password w / 2FA standard, utilizzo del dispositivo, policy ecc.
Questo è ciò che un'azienda fa attivamente per:
- avverti potenziali problemi
- Interagire in sicurezza con i propri clienti
- Sviluppa le app in modo sicuro
Di quali informazioni è necessaria la società per risolvere la violazione?
Il detto "non è se ma quando succede qualcosa" è piuttosto diffuso. Una volta che si verifica qualcosa, qual è il modo più veloce per risolverlo? Quali sono i revisori, i legali e / o le forze dell'ordine che necessitano o vogliono?
Potrebbe trattarsi di registri di controllo, registri delle transazioni, registri della posizione.
Questo si concentra davvero su:
- Informazioni da raccogliere
- Politica / team di sicurezza della sicurezza delle informazioni
- Mitigazione del rischio
- Compliance
Come comunichi con l'utente?
I primi due sono semplici, questo varia molto in quanto è la tua interazione diretta con gli utenti. Questo è in realtà PR / azienda guidata e le cose a cui potresti pensare sono:
- Quali dettagli sei disposto a pubblicare?
- Che cos'è un risarcimento adeguato?
- Cos'è regolato?
Quest'ultima onestamente non è il mio strong. Personalmente voglio tutti i dettagli e sento che l'Who, What, When, Why e How di una violazione devono essere pienamente comunicati. Conosco un sacco di persone nella comunità della sicurezza che non si sentono in questo modo, e certamente non il mio livello esecutivo che deve considerare l'intera azienda.
Soprattutto, non si tratta di un problema individuale o di una singola responsabilità aziendale, è necessario guidarlo a tutti i livelli.